Veel meer redenen waarom uitgevers niet voldoen aan de AVG met tracking cookies

De grootste uitgevers in Nederland voldoen niet aan de AVG. Doordat zij het accepteren van tracking cookies verplichten alvorens de website(s) bezocht kunnen worden wordt geen geldige toestemming verkregen. Er is op dat moment geen sprake van vrije toestemming. Dat lichtte ik toe in het artikel ‘Grootste uitgevers in Nederland overtreden grootschalig privacywetgeving‘ en werd bevestigd door de Autoriteit Persoonsgegevens.

De vereiste van vrije toestemming is niet de enige vereiste voor toestemming waar niet aan voldaan wordt. Volgens de Algemene Verordening Gegevensbescherming is toestemming een vrije, specifieke, geïnformeerde en ondubbelzinnige uiting van mijn wens dat mijn persoonsgegevens verwerkt gaan worden.

In het geval van de cookiewalls van de uitgevers geef ik al geen vrije of ondubbelzinnige toestemming. Maar ook aan de vereisten ‘specifiek’ en ‘geinformeerd’ lijkt niet voldaan te worden.

Update over cookiewalls nieuwsmedia

Enkele weken geleden legde ik uit hoe uitgevers van websites de Algemene Verordening Gegevensbescherming (AVG) overtreden door het toepassen van een zogenaamde ‘cookiewall’. Door gebruikers te verplichten tracking cookies te accepteren om een website te mogen gebruiken of bezoeken is er geen sprake van vrije toestemming en daardoor wordt geen geldige toestemming verkregen.

RTL nieuws, dat zelf achter een cookiewall schuilt, pikte mijn verhaal op en deed navraag bij de Autoriteit Persoonsgegevens. In het artikel ‘Onderzoek naar dwingende ‘cookiewalls’ nieuwsmedia‘ lijkt de Autoriteit minder stellig te zijn dan op haar website en in haar telefonische antwoorden op mijn vragen. Tegenover RTL nieuws zegt de privacyautoriteit dat dit mogelijk in strijd is met de wet.

Volgens de AP is het ‘zeer de vraag’ of deze manier van toestemming verkrijgen ‘binnen de eisen van de privacywet past’. “Mensen moeten een vrije keuze hebben en hun toestemming kunnen weigeren zonder nadelige gevolgen”

“Het feit dat er geen toegang gegeven wordt tot een website zou uitgelegd kunnen worden als een manier van toestemming geven die niet aan de eisen voldoet.”

De AP zegt op dit moment met de Europese privacyautoriteiten in overleg te zijn om een gezamenlijk standpunt te vormen over deze cookiewalls.

Inzageverzoek bol.com: wat weet deze webwinkel over mijn gedrag?

Ik bestel niet heel vaak meer bij bol.com. Een belangrijke reden hiervoor is dat bol.com mij verplicht om een account aan te maken om een bestelling te plaatsen. Bij concurrent Coolblue kan ik gewoon bestellen zonder de verplichting om een account aan te maken.

Vanuit AVG perspectief is het voor het doel om een bestelling te kunnen plaatsen natuurlijk ook niet noodzakelijk om een account aan te maken. Bol.com stelt dit vermoedelijk alleen verplicht vanuit eigen belang. Het belang voor bol.com om mijn gedrag te kunnen volgen en koppelen aan persoonlijke accountgegevens.

Juist daarom ben ik wel eens benieuwd welke persoonsgegevens bol.com van mij verwerkt, gekoppeld aan dat account. Welke informatie over mijn gedrag in de online winkel heeft bol.com van mij?

Grootste uitgevers in Nederland overtreden grootschalig privacywetgeving

Veel websites, waaronder de drukst bezochte websites van uitgevers in Nederland, handelen in strijd met de Algemene Verordening Gegevensbescherming (AVG). De wijze waarop zij toestemming vragen voor het gebruik van zogenaamde tracking cookies is niet in lijn met de AVG en zienswijze van de toezichthouder, de Autoriteit Persoonsgegevens. Hierdoor is de noodzakelijke toestemming van miljoenen Nederlanders ongeldig en worden in strijd met de AVG persoonsgegevens van een groot gedeelte van Nederland verwerkt.

Aandacht voor privacywetgeving weer genormaliseerd (volgens Google)

De AVG kreeg enorm veel aandacht in de aanloop naar de AVG-D-Day, 25 mei 2018. Mede of voornamelijk aangejaagd door juristen, AVG bangmakerij en de media. Dat levert een ietwat vreemd plaatje op wanneer je kijkt naar de ‘interesse’ in AVG / GDPR via Google Trends. Het onderstaande plaatje laat het volume in zoekopdrachten zien in Nederland naar AVG, GDPR en Wbp.

Voor zover het überhaupt mogelijk is hier conclusies aan te verbinden: er is korte tijd heel veel aandacht voor privacywetgeving geweest. Voor een groot gedeelte is deze aandacht weer weg. Er zijn ongetwijfeld veel bedrijven geweest die actief met de wetgeving zijn geweest voor en even na 25 mei, maar de meerderheid lijkt hier verder geen verhoogde aandacht meer aan te schenken. Het aantal bedrijven dat hier nog wel aandacht voor heeft is echter veel hoger dan dat de aandacht was ten aanzien van de Wbp. Ik vermoed dat veel bedrijven 25 mei als deadline voor een project hebben gezien; of ze zich daarmee in de vingers gaan snijden omdat er daarmee geen sprake is van juiste toepassing van die AVG en het adequaat voeren van een privacybeleid zal de (nabije) toekomst uitwijzen.

AVG: Toestemming als grondslag voor werkgevers onder vergrootglas

De artikel-29 werkgroep haar richtlijn voor toestemming (consent) gepubliceerd die begrippen uit de AVG / GDPR verduidelijken. De richtlijn staat nog open voor consultatie en is hier te bekijken.  Algemeen wordt de lat voor het verkrijgen van geldige toestemming hoger gelegd dan de huidige wetgeving onder de Algemene Verordening Gegevensbescherming. Algemeen een must-read voor wie toestemming als grondslag wil hanteren voor de verwerking van persoonsgegevens, maar specifiek een onderdeel lijkt in de opinie benadrukt te worden: het verkrijgen van toestemming als publieke organisatie of werkgever.

De artikel-29 werkgroep benadrukt in de richtlijn dat het verkrijgen van toestemming als grondslag in principe niet mogelijk is voor publieke organisaties en werkgevers. Het is niet uitgesloten dat toestemming als grondslag kan dienen voor gegevensverwerking, maar de richtlijn stelt dat werkgevers en publieke organisaties zich waarschijnlijk tot één van de andere 5 grondslagen moet wenden voor een geldige grondslag.